Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

Антивирусник информирует об огромном количестве атак (заявка № 22373)

  1. #1
    Junior Member Репутация
    Регистрация
    01.05.2008
    Адрес
    St Pete, Russia
    Сообщений
    43
    Вес репутации
    59

    Thumbs up Антивирусник информирует об огромном количестве атак

    Антивирусник ESET NOD32 информировал об огромном количестве атак. Началось вчера и продолжалось до момента, пока не выполнила «Правила! Читать перед запросом о помощи». Что это было и всё ли в порядке сейчас?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Интересно, по каким же помойкам вы гуляли и на что кликали? Пришлите мне в личку списочек
    Такое под ограниченным пользователем не установиться, это точно На будущее учтите.

    P.S. Если вы считаете, что набор руткитов и троянов- это порядок, то да


    1. Скачайте IceSword: http://uploading.com/ru/files/VVKG3ZDO/1.zip.html
    распакуйте в новую папку.

    2. Запустите, слева внизу нажмите File, найдите файлы:
    Код:
    C:\WINDOWS\System32\drivers\Yfk84.sys
    C:\WINDOWS\System32\drivers\Yfk28.sys
    C:\WINDOWS\System32\drivers\Wek86.sys
    C:\WINDOWS\System32\drivers\Wej73.sys
    C:\WINDOWS\System32\drivers\Wdj62.sys
    C:\WINDOWS\system32\drivers\nkv2.sys
    C:\WINDOWS\System32\drivers\Vci85.sys
    C:\WINDOWS\System32\drivers\Syf73.sys
    C:\WINDOWS\System32\drivers\Sye73.sys
    C:\WINDOWS\System32\drivers\Sye38.sys
    C:\WINDOWS\System32\drivers\Qwc27.sys
    C:\WINDOWS\System32\drivers\Qvb27.sys
    C:\WINDOWS\System32\drivers\Oua05.sys
    C:\WINDOWS\System32\drivers\Msx73.sys
    C:\WINDOWS\System32\drivers\Msx62.sys
    C:\WINDOWS\System32\drivers\Krw62.sys
    C:\WINDOWS\System32\drivers\Kqv38.sys
    C:\WINDOWS\System32\drivers\Jpu40.sys
    C:\WINDOWS\System32\drivers\Iot40.sys
    C:\WINDOWS\System32\drivers\Iot16.sys
    C:\WINDOWS\System32\drivers\Hot52.sys
    C:\WINDOWS\System32\drivers\Hns38.sys
    C:\WINDOWS\System32\drivers\Gns05.sys
    C:\WINDOWS\System32\drivers\Gmr51.sys
    C:\WINDOWS\System32\drivers\Gmr27.sys
    C:\WINDOWS\System32\drivers\Flq40.sys
    C:\WINDOWS\System32\drivers\Flq38.sys
    C:\WINDOWS\System32\drivers\Dkp40.sys
    C:\WINDOWS\System32\drivers\Djo62.sys
    C:\WINDOWS\System32\drivers\Bhm38.sys
    C:\WINDOWS\system32\WLCtrl32.dll
    Сделайте копии командой Copy to... (правой кнопкой мыши),
    затем удалите все эти файлы командой Force Delete.

    3. Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
    4. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Windows Media Connect 2\Wmccds.exe','');
     QuarantineFile('c:\windows\system32\wuauserv.dll','');
     QuarantineFile('C:\WINDOWS\Temp\BN1.tmp','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\spool.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Yfk84.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Yfk28.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Wek86.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Wej73.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Wdj62.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nkv2.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Vci85.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Syf73.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Sye73.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Sye38.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Qwc27.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Qvb27.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Oua05.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Msx73.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Msx62.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Krw62.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Kqv38.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Jpu40.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Iot40.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Iot16.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Hot52.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Hns38.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Gns05.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Gmr51.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Gmr27.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Flq40.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Flq38.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Dkp40.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Djo62.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Bhm38.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ctfmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\ftpdll.dll','');
     TerminateProcessByName('c:\windows\temp\253.tmp');
     QuarantineFile('c:\windows\temp\253.tmp','');
     DeleteFile('c:\windows\temp\253.tmp');
     DeleteFile('C:\WINDOWS\system32\ftpdll.dll');
     DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\Bhm38.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Djo62.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Dkp40.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Flq38.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Flq40.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Gmr27.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Gmr51.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Gns05.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Hns38.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Hot52.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Iot16.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Iot40.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Jpu40.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Kqv38.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Krw62.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Msx62.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Msx73.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Oua05.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Qvb27.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Qwc27.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Sye38.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Sye73.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Syf73.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nkv2.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Vci85.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Wdj62.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Wej73.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Wek86.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Yfk28.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Yfk84.sys');
     DeleteFile('C:\WINDOWS\Temp\BN1.tmp');
     DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\spool.exe');
     DeleteService('Bhm38');
     DeleteService('Djo62');
     DeleteService('Dkp40');
     DeleteService('Flq38');
     DeleteService('Flq40');
     DeleteService('Gmr27');
     DeleteService('Gmr51');
     DeleteService('Gns05');
     DeleteService('Hns38');
     DeleteService('Hot52');
     DeleteService('Msx62');
     DeleteService('Msx73');
     DeleteService('Oua05');
     DeleteService('Qvb27');
     DeleteService('Qwc27');
     DeleteService('Sye38');
     DeleteService('Sye73');
     DeleteService('Syf73');
     DeleteService('USB2_04');
     DeleteService('Vci85');
     DeleteService('Wdj62');
     DeleteService('Wej73');
     DeleteService('Wek86');
     DeleteService('Yfk28');
     DeleteService('Yfk84');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(12);
    ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе. После скрипта система перезагрузится.

    Снова повторите логи.
    Копии, сделанные в п.2, пришлите по правилам.
    напоминаю: в zip архиве с паролем virus
    карантин от avz тоже прислать, по той же ссылке в шапке вашей темы.
    Последний раз редактировалось drongo; 02.05.2008 в 20:01.

  4. #3
    Junior Member Репутация
    Регистрация
    01.05.2008
    Адрес
    St Pete, Russia
    Сообщений
    43
    Вес репутации
    59
    Понимаю, что меня, видимо, ругают за что-то...
    По помойкам гуляли? Ну да, наверно гуляли... Кликали всё на что кликалось. Вот и накликали
    Теперь сидим, ждём-с...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    План работы готов, выполняйте

  6. #5
    Junior Member Репутация
    Регистрация
    01.05.2008
    Адрес
    St Pete, Russia
    Сообщений
    43
    Вес репутации
    59

    Антивирусник информирует об огромном количестве атак

    Вот что получилось на данный момент...
    Вложения Вложения

  7. #6
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Продолжаем битву.
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\spool.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ctfmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\ctfmon.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\Ekp84.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Fmr73.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Iot38.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Ygm73.sys');
     DeleteFile('WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\spool.exe');
    BC_ImportAll;
    BC_DeleteSvc('Ygm73');
    BC_DeleteSvc('Iot38');
    BC_DeleteSvc('Fmr73');
    BC_DeleteSvc('Ekp84');
    BC_DeleteSvc('Schedule');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=22373

    Повторите логи.

  8. #7
    Junior Member Репутация
    Регистрация
    01.05.2008
    Адрес
    St Pete, Russia
    Сообщений
    43
    Вес репутации
    59

    Антивирусник информирует об огромном количестве атак

    Последние новости с полей сражений...
    Вложения Вложения

  9. #8
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Почти добили врагов.
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\System32\drivers\Cin73.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Qwc27.sys');
    BC_ImportDeletedList;
    BC_DeleteSvc('Qwc27');
    BC_DeleteSvc('Cin73');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
    Повторите логи начиная с пункта 10 правил.

  10. #9
    Junior Member Репутация
    Регистрация
    01.05.2008
    Адрес
    St Pete, Russia
    Сообщений
    43
    Вес репутации
    59
    Почти без сил, с высунутым языком, подчиняюсь...

  11. #10
    Junior Member Репутация
    Регистрация
    01.05.2008
    Адрес
    St Pete, Russia
    Сообщений
    43
    Вес репутации
    59

    Антивирусник информирует об огромном количестве атак

    Ну вот что получилось...
    Вложения Вложения

  12. #11
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Вы скрипт из поста №8 выполняли?

  13. #12
    Junior Member Репутация
    Регистрация
    01.05.2008
    Адрес
    St Pete, Russia
    Сообщений
    43
    Вес репутации
    59
    Если номер 8 вот этот: "Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.", то да.

    Все подряд

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    не пункт 8 правил, а сообщение номер 8 http://virusinfo.info/showpost.php?p=222899&postcount=8
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  15. #14
    Junior Member Репутация
    Регистрация
    01.05.2008
    Адрес
    St Pete, Russia
    Сообщений
    43
    Вес репутации
    59
    Мне кажется, что да... Но спорить не буду. Надо повторить?

  16. #15
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Перед его выполнением Запустите IceSword: слева внизу нажмите File, найдите файлы, если будут: C:\WINDOWS\System32\drivers\Cin73.sys; C:\WINDOWS\System32\drivers\Qwc27.sys удалите все эти файлы командой Force Delete, потом выполните скрипт из сообщения №8 и повторите логи начиная с п.10 правил.

  17. #16
    Junior Member Репутация
    Регистрация
    01.05.2008
    Адрес
    St Pete, Russia
    Сообщений
    43
    Вес репутации
    59
    Ага... Сейчас сделаю...

    Добавлено через 7 минут

    C:\WINDOWS\System32\drivers\Cin73.sys - вот этого не было, а этот был - C:\WINDOWS\System32\drivers\Qwc27.sys
    Последний раз редактировалось Homo Sapience; 03.05.2008 в 00:58. Причина: Добавлено

  18. #17
    Junior Member Репутация
    Регистрация
    01.05.2008
    Адрес
    St Pete, Russia
    Сообщений
    43
    Вес репутации
    59

    Антивирусник информирует об огромном количестве атак

    А вот сейчас как?
    Вложения Вложения

  19. #18
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Теперь все нормально врагов в логах нет.
    Если не вы вносили эту запись в хост файл
    Код:
    O1 - Hosts: 89.111.184.115 wiz2wix.com
    то пофиксите её.
    Больше ничего подозрительного в логах нет.

    Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

  20. #19
    Junior Member Репутация
    Регистрация
    01.05.2008
    Адрес
    St Pete, Russia
    Сообщений
    43
    Вес репутации
    59
    Ага, поняла, сейчас сделаю.
    Последний раз редактировалось Homo Sapience; 03.05.2008 в 01:45.

  21. #20
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Я имел ввиду, что если вы ничего не дописывали в хост файл, тогда нужно пофиксить указанную строчку.

  • Уважаемый(ая) Homo Sapience, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. svchost.exe плодиться в большом количестве
      От Vovazbest в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 31.01.2012, 00:08
    2. Процессы iexplore.exe в количестве 2 и больше штук
      От Ayo Technology в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 11.02.2010, 00:32
    3. Антивирусник информирует об атаках
      От Homo Sapience в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 28.07.2008, 00:12
    4. Ответов: 2
      Последнее сообщение: 25.09.2004, 19:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00264 seconds with 20 queries